(파이널24) 권태윤 기자 = 법무법인 예율이 개인정보 해킹 사고가 발생한 인터파크 상대로 “회원가입을 위해 강제로 수집한 개인정보 보호 의무를 소홀히 했다”며 인터파크 회원들을 대리해 제기한 손해배상소송에서 최종 승소했다고 9일 밝혔다.

2016년 5월, 인터파크 사내 PC 전산망이 해킹돼 약 2540만 명의 고객 개인정보(이름, 성별, 생년월일, 휴대전화 번호, 주소 등)가 유출됐다. 당시 인터파크는 해커가 먼저 개인정보를 빌미로 거액을 요구하기 전까지 해킹 사실을 인지하지 못했던 것으로 알려졌다.

이에 법무법인 예율은 개인정보가 유출된 2403인(원고)을 대리해 정보통신서비스 제공자로서 해킹 사고를 방지하지 못한 인터파크(피고)에 정보통신망이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’) 위반에 따른 손해배상 책임을 물어 1인당 30만원 지급을 요구하는 내용의 민사소송을 제기했다.

원고 측은 “해커 조직이 침해 사실을 고지하며 상당한 금원을 요구하자 비로소 개인정보 유출을 인지했다는 점은 피고의 기술적 조치가 미흡했음을 방증한다”고 지적했다.

이에 1심을 맡은 서울중앙지방법원 제30민사부(한성수 판사)는 “유출된 개인정보를 도용한 2차 피해 발생 가능성을 배제하기 어렵다. 또한 개인정보 유출 사실을 인지했음에도 그로부터 14일 후에야 이를 통지해 개인정보 유출에 신속히 대응할 기회를 상실케 했다”며 ‘원고 일부 승’ 판결을 내렸다.

하지만 인터파크는 개인정보 보호조치 위반 사실이 없고, 설령 위반했더라도 조치 위반과 원고들의 손해 발생 사이에는 ‘인과관계’가 없으므로 손해배상 책임이 인정될 수 없다고 주장하며 1심 판결에 불복, 2020년 5월 항소심을 제기했다.

법무법인 예율은 2심 재판에서 피고 측 주장에 대해 본인의 개인정보 보호조치 의무를 위반한 사실이 본인의 고의, 과실과 무관하다는 점을 명백히 입증하지 못하는 한 그 손해배상 책임을 면할 수 없다고 반박했다.

또 인터파크가 ‘최대접속시간 제한 조치 의무’와 ‘비밀번호 암호화 의무’를 위반했다는 사실을 증명하는 것과 함께 개인정보 유출을 알게 된 시점부터 24시간 안에 그 사실을 이용자에게 알리지 않았다는 점을 다시 한번 강조했다.

1년에 걸친 항소심(서울고등법원 제14-1민사부) 진행 끝에 1심과 같은 금액으로 조정결정이 이뤄졌다.

30만원의 위자료 청구가 10만원으로 줄어든 이유는 개인정보 유출에 따른 손해배상액이 1인당 10만원 선에서 인정되던 과거 판례를 따라 위자료가 조정됐기 때문이다. 이에 따라 인터파크가 피해 고객들에게 지급해야 할 손해배상액은 1인당 10만원으로 정해졌다. 총 보상 규모는 약 2억4000만원 수준이다.

이번 승소 보상금은 법무법인 예율 홈페이지(분쟁제로닷컴)에서 신청할 수 있으며, 12월 중순부터 순차적으로 각 계좌에 입금될 예정이다.

법무법인 예율의 김상겸 변호사는 “2016년 시작된 싸움이 무려 5년 넘게 진행됐다. 당초 의도했던 위자료를 받아내진 못했지만 끝까지 믿어주신 의뢰인들 덕분에 최종 승소할 수 있었다”며 “이번 소송 결과가 대기업들에 개인정보 보호의 중요성에 대해 경종을 울리는 기회가 되길 바란다”고 승소 소감을 말했다.

이어 “이번 사건처럼 대기업을 상대로 한 소송은 의도치 않게 길어질 수 있어 개인이 혼자 감당하기란 쉽지 않다. 하지만 개개인이 모여 단체소송을 한다면 저렴한 비용으로도 법률사무소 의뢰가 가능해져 특별한 수고 없이도 정당한 피해 보상을 받을 수 있다”고 조언했다.